Помощь в понимании вывода «netstat -b»

Помощь в понимании вывода «netstat -b»

Я использую Windows 7 64-Bit, запустил netstat -bи вывел данные в текстовый файл. Там 4 столбца «Proto», «Local Address», «Foreign Address» и «State». В столбце «Foreign Address» указано имя моего компьютера и номер порта. Там есть как минимум 9 других, похожих на этот, просто другой порт на локальном адресе и внешнем адресе.

Например:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

Что это значит? Стоит ли мне беспокоиться?

решение1

Примечание: Этот ответ должен быть дополнением к ответу Giacomo1968. Он совершенно прав; я также отвечаю, потому что я чувствовал, что мне нужно добавить еще некоторые детали. Я позволил этому ответу говорить с портом TCP 2559.

Поскольку ваше соединение установлено по адресу 127.0.0.1, это означает, что программа на вашем ПК взаимодействует с другой программой (вероятно, второй программой) на вашем ПК.

Для активных подключений, скорее всего, у вас есть соответствующая запись. Так что, в дополнение к:
Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 ESTABLISHED у вас также может быть: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 ESTABLISHED

Это может быть менее вероятно для статуса TIME_WAIT. Я думаю, я бы искал его, если бы я пытался собрать больше информации в рамках процесса устранения неполадок.

Proto Local Address Foreign Address State TCP Someuser-PC:54735 127.0.0.1:2559 TIME_WAIT у вас также может быть: Proto Local Address Foreign Address State TCP 127.0.0.1:2559 Someuser-PC:54735 TIME_WAIT

Я бы также избавился от имен систем. Я обычно использую netstat -nab(в современных версиях MicrosoftWindows), потому что это быстрее и понятнее. Без n после дефиса netstat выполняет обратный поиск имени, поэтому 127.0.0.1 выглядит как Someuser-PC. Это медленнее и менее понятно, потому что фактические IP-пакеты на самом деле используют числовой IP-адрес, а не текстовые имена. (Если я хочу узнать имя 127.0.0.1, я могу выполнить обратный поиск имени вручную, сам.) Если бы был злонамеренный злоумышленник, я бы не хотел, чтобы прямой поиск GoodGuy указывал на 192.0.2.10, а затем обратный поиск 198.51.100.50 разрешался в GoodGuy, а затем я вручную ищу GoodGuy и начинаю неправильно обвинять 192.0.2.10, когда адрес, который на самом деле атакует меня, — 198.51.100.50. Я избегаю этой ошибки, придерживаясь чисел, что в любом случае быстрее.

Вам может потребоваться запустить это как администратор, чтобы получить наилучшее доступное имя процесса. (Я имею в виду не только учетную запись в группе администраторов; если у вас есть UAC, вам может потребоваться приглашение администратора, чтобы обойти ограничения UAC.)

Порт 54735, вероятно, является исходящим соединением, поскольку он находится в диапазоне эфемерных портов IANA. По сути, это означает, что номера зарезервированы/предназначены для исходящих соединений. (Диапазон настраивается, поэтому я основываю этот комментарий на значениях по умолчанию. Термин «эфемерный» порт — это стандартный термин, который можно использовать для поиска более подробной информации.)

Обычно, в целях безопасности, TCP-соединения вызывают беспокойство, если они ESTABLISHED или LISTENING (потому что LISTENING может превратиться в ESTABLISHED соединение). TIME_WAIT должен исчезнуть сам по себе через некоторое время; я бы не стал беспокоиться об этом, если у вас их не много. (Иногда веб-серверы генерируют много соединений TIME_WAIT, потому что они создают много соединений и не закрывают их должным образом. Например, десятки или сотни, я думаю.) Навскидку, я думаю, что этот статус указывает на что-то вроде соединения, которое прекратило связь и ждет, когда удаленная сторона подтвердит, что соединение закрыто. Возможно, netstat не показывает связанную программу, потому что программа считает соединение закрытым и перестала обращать на него внимание.

Что касается вашего вопроса о том, стоит ли беспокоиться, мой ответ вкратце: нет. Это просто означает, что часть вашего компьютера общается с другой частью вашего компьютера. Если программа на 127.0.0.1 вызывает проблемы, то ваша проблема в том, что на вашем компьютере установлена ​​вредоносная программа. Это может быть причиной для беспокойства. Однако тот факт, что программа общается с 127.0.0.1 и на него, как правило, не является причиной для беспокойства, поскольку эти соединения обычно не добавляют никаких дополнительных проблем безопасности. Такие сетевые соединения являются вполне нормальным поведением. Поэтому ваши 9 соединений TIME_WAIT с/на 127.0.0.1 не вызывают беспокойства.

решение2

Первый,netstatочень простой инструмент. Он просто выводит информацию о сетевых соединениях, таблицах маршрутизации, статистике интерфейсов, маскарадных соединениях и членстве в многоадресной рассылке. В общем, просто общая информация о сети. Итак, вы говорите это:

Что это значит? Стоит ли мне беспокоиться?

Ну, вот буквально то, что я читаю:

Proto  Local Address          Foreign Address        State
TCP    127.0.0.1:2559         Someuser-PC:54735      TIME_WAIT

Буквально это означает, что ваша локальная машина на IP-адресе, использующем 127.0.0.1порт 2559, устанавливает TCP-соединение с удаленной машиной, указанной Someuser-PCна порте 54735, и состояние равно , TIME_WAITчто по сути означает, что соединение сейчас закрыто, но соединение поддерживается на вашей машине на тот случай, если есть какие-либо случайные/отставшие пакеты, ожидающие/нуждающиеся в этом соединении.

Сейчаспочемучто соединение было сделано в какой-то момент? Непонятно. Локальный адрес порта2559похоже, связано сПроект терминального сервера Linux (LSTP)который описывается как:

Linux Terminal Server Project добавляет поддержку тонких клиентов к серверам Linux. LTSP — это гибкое, экономически эффективное решение, которое позволяет школам, предприятиям и организациям по всему миру легко устанавливать и развертывать тонкие клиенты.

Порт иностранного адреса54735находится в верхнем диапазоне портов, которые обычно считаются «динамическими» или «частными», но по сути означает: «Нет стандартных приложений, которые резервируют/заявляют этот порт известным образом, поэтому эти порты используются для случайных/идиосинкразических/специфических для приложений подключений».

У меня нет глубокого опыта работы с LSTP, и я не знаю — или не понимаю — специфику вашей настройки, но на первый взгляд это кажется допустимым и законным соединением. Многие протоколы используют известный порт для клиента, а затем случайный «частный» порт на сервере назначения. Так что на первый взгляд это кажется мне нормальным поведением. Даже если отображаются десятки записей, netstatпотому что, честно говоря, на ПК с любой ОС запуск netstatтакой по сути голой команды — без фильтрации — просто вывалит на экран кучу записей; сетевой трафик может быть шумным в хороший день и на чистой системе.

Теперь, если вы говорите, что Someuser-PCэто ваш локальный ПК и есть соединения с ним из вашего localhost loopback на 127.0.0.1, тогда это все может быть связано с тем, как работает какое-то приложение на вашей локальной машине. Это значит, что, насколько вам известно, вы запускаете какое-то программное обеспечение, которое выполняет легкую эмуляцию терминала LSTP, а основной код использует пакеты TCP для связи со своим родительским «серверным» приложением.

Но честно говоря, с той минимальной информацией, которую дает ваш вопрос, трудно сказать, плохо это или хорошо. Моя интуиция подсказывает мне, что у вас на ПК просто установлено какое-то программное обеспечение, которое просто — и не злонамеренно — использует эмуляцию терминала LSTP для выполнения своей работы. Не больше и не меньше.

Связанный контент